平成18年度情報セキュリティアドミニストレータ午後Ⅱ問題（問2)

SEのための情報セキュリティ対策

情報セキュリティプロフェッショナル試験対策　過去問掲載

平成18年度情報セキュリティアドミニストレータ午後Ⅱ問題（問2)

→詳細な解答を見る

問2　旅行情報ネットワークシステムの情報セキュリティ自己点検に関する次の記述を読んで，設問1～4に答えよ。
　
　J社は，売上高300億円，社員数300名の旅行業者で，パッケージ旅行や海外航空券などを販売している。J社では，設立時から販売業務を各営業所の窓口で行っているが，4年前に，会員制のインターネット予約販売（以下，Web販売という）を開始した。2年前には，Web販売を利用する会員数は1万人を超えた。
　J社では，社員にPCを配布しており，旅行情報ネットワークシステム（以下，Rシステムという）を活用している。データセンタ事業者のY社と契約を結び，サーバなどは，Y社データセンタに設置している。現在のRシステムの構成を図1に示す。
　

　
〔J社の業務内容と現在の情報セキュリティ体制〕
　J社本社には，情報システム部，企画部，サービス部などがある。情報システム部では，Rシステムの運用管理業務の一部をベンダであるS社に委託している。S社は，Y社データセンタ及びJ社本社にSEを常駐させている。企画部では，パッケージ旅行の企画のために，大量の画像ファイルを扱うので，2年前にファイルサーバを独断で設置し，本社LANに接続した。取引先の各航空会社の営業担当者と共同で作成した企画書を，このファイルサーバに保存している。企画部を訪れる各航空会社の営業担当者には，共通の利用者IDでファイルサーバを利用させている。サービス部では，会員の登録時に会員番号を付与し，J社だけで利用する条件で会員の同意を得た上で，パスポートを画像スキャナで読み込んでいる。J社本社や各営業所の窓口において，パッケージ旅行の航空券などを受け渡すときには，あらかじめ読み込んだパスポートの画像を参照して，本人確認をしている。また，サービス部では，取得した会員の個人情報はセキュリティ区画内だけで取り扱っている。このセキュリティ区画は，会員が出入りする接客区画とカウンタで仕切られている。
　J社の主要3部署の業務内容を表1に示す。情報システム部のF君とサービス部のG君は，入社7年目の係長であり，本来の担当業務に加え，それぞれ所属する部署の情報セキュリティ対策の運用も担当している。
　

表1　主要3部署の業務内容


部署名
項目

情報システム部

企画部

サービス部

業務概要

Rシステムの運用管理，情報セキュリティ対策支援

航空会社やホテルと提携したパッケージ旅行の企画

会員登録，会員に対するパッケージ旅行の販売，航空券の予約受付・販売

業務で扱う情報

社員などの個人情報，情報システム設計書

航空会社との共同作業による企画情報（機密情報を含む）

会員の個人情報（パスポートの情報，個人の機微情報を含む）

主管する情報システム

社内Webサーバ，メールサーバ，共用ファイルサーバ，ネットワーク管理サーバ

Webサーバ（広告，宣伝）

旅行予約サーバ（会員の個人情報，予約情報など），Webサーバ（Web販売）

責任者

M部長

（省略）

N部長

セキュリティ担当者

F君

（省略）

G君

セキュリティ区画

執務室，サーバ室

執務室

執務区画（接客区画と執務区画はカウンタで仕切られている）

入室制限

社員やベンダSEがサーバ室に入室する際に，虹(こう)彩による認証が必要

部外者が執務室に入室する際に，受付社員による本人確認が必要

会員は執務区画には入室不可

印刷出力

執務室の共用プリンタ，サーバ室の共用プリンタ

執務室の共用プリンタ

執務区画内の共用プリンタ

主な外部委託業務

Rシステムの運用管理・保守，利用者IDの登録・削除・変更など

パッケージ旅行のパンフレットの印刷

ダイレクトメール（以下，DMという）の発送

その他

Rシステムのネットワーク管理サーバはサーバ室に設置

企画部が独断で設置したファイルサーバのログは採取されていない

会員の個人情報の利用は，J社内部に限られている

　
　J社は5年前に，社長を委員長，各部署の部長を委員とする情報セキュリティ委員会を設置し，コンサルタント会社の協力を得て，情報セキュリティポリシを策定した。情報セキュリティ委員会は2年前に，情報セキュリティポリシに対して，個人情報の記載の追加と外部委託管理項目の修正を行った。現在の情報セキュリティポリシを図2に示す。各部署では，情報セキュリティ対策を実施し，情報システム部では，全従業者に情報セキュリティポリシを認知させて遵守させること（以下，浸透という），及び各部署における情報セキュリティ対策の実施を支援することを役割としている。
　

図2　現在の情報セキュリティポリシ

情報セキュリティポリシ

社長

I．基本方針（省略）
II.対策基準

　適用範囲

(1)	本基準は，社員（役員，管理職，一般職及び契約社員）及び派遣社員の全従業者に適用する。
(2)	本基準は，J社で利用するすべての情報資産（ハードウェア，ソフトウェア，ネットワーク，記録媒体及び情報（紙文書，電子化情報））を対象とする。

　資産管理
　J社の情報は，重要度に応じてA（極秘情報），B（機密情報，個人情報），C（重要情報），D（公開情報）の四つに分け，その重要度に応じたラベルを付ける。

　人的資源セキュリティ

(1)	従業者は，毎年，新たな知識習得と意識向上のために，情報セキュリティ教育を受講する。
(2)	従業者は，雇用や契約の開始に際しては，情報セキュリティに関する条件に同意する。
(3)	従業者は，業務上の必要性があって，外来者に社内の情報システムを利用させる場合には，外来者に対して情報セキュリティポリシを遵守する旨の誓約書を提示し，同意を得て署名させる。

　物理的及び環境的セキュリティ

(1)	重要度A，Bの情報の作成，編集，保存及び印刷は，セキュリティ区画内で実施する。
(2)	従業者は，セキュリティ区画の出入りに，写真付きのICカードを用いる。
(3)	セキュリティ区画に外来者を入室させるときは，訪問者用IDカードを携帯させ，社員が付き添う。

　通信及び運用管理

(1)	Webサーバへのアクセスは，SSLで保護する。
(2)	重要度A～Cの情報は，定期的にバックアップを取得する。
(3)	重要度A～Cの情報の取扱いを外部委託する場合には，事前に情報セキュリティ要求事項を定め，管理の実施について契約を交わす。
(4)	情報資産を廃棄する際には情報漏えいに注意する。

　アクセス制御

(1)	重要度A～Cの情報を扱う情報システムにアクセスする場合には，個人を特定できる利用者IDを用いる。
(2)	重要度Aの情報へのアクセスや印刷は，権限者だけが実施する。
(3)	重要度B，Cの情報へのアクセスや印刷は，権限者又は権限を委譲された者が，許可された機器で実施する。
(4)	重要度A～Cの情報へのアクセスや印刷の履歴はすべてログに記録し，権限者が許可内容に対する違反の有無を確認する。

　情報システムの取得，開発及び保守
　社内の情報システムの設定は，所属長の承認の下，情報システム部の許可を得て実施する。

以上

　
〔情報セキュリティ自己点検の実施〕
　M部長は，情報セキュリティポリシの浸透の度合い（以下，浸透度という）を調べることにした。そこで，F君と協力して，図3に示す情報セキュリティ自己点検（以下，自己点検という）の手順に基づいて，質問を作成した。
　

図3　自己点検の手順

(1)	現在の情報セキュリティポリシの浸透度を調べるために，認知と実践についての質問を作成する。
(2)	社内Webサーバ上に，自己点検の結果を入力するための回答ページを用意する。
(3)	自己点検の実施を電子メール（以下，メールという）で全従業者に周知する。
(4)	従業者は，自己点検の結果を無記名で回答ページに入力する。
(5)	情報システム部が回答を確認して，結果をまとめる。

　
　M部長は，全従業者に対して，情報セキュリティポリシを参照しつつ自己点検を実施するように指示し，自己点検の結果を回答ページに入力させた。自己点検の質問と結果を表2に示す。
　

表2　自己点検の質問と結果（抜粋）
項目	項番	質問	結果(¹)
項目	項番	質問	会社全体	情報システム部	企画部	サービス部
情報資産管理	(1)	あなたは，情報を重要度に応じて分類するルールを知っていますか。	1.73	1.75	1.67	1.77
情報資産管理	(2)	あなたは，個人情報を重要度Bに分類していますか。	1.55	1.46	1.53	1.63
アクセス制御	(3)	あなたは，重要度B，Cの情報を印刷できるのは，権限者又は権限を委譲された者に限られていることを知っていますか。	1.14	1.31	0.93	1.00
アクセス制御	(4)	あなたの周りでは，重要度B，Cの情報を権限者又は権限を委譲された者が，印刷していますか。	0.86	1.15	0.60	0.63
入退管理	(5)	［　　ア　　］	1.78	1.69	1.80	1.88
教育	(6)	あなたは，情報セキュリティ教育を毎年受講しなければならないことを知っていますか。	1.55	1.46	1.60	1.56
教育	(7)	あなたは，昨年の情報セキュリティ教育を受講しましたか。	1.02	1.08	0.93	1.06
外部委託管理	(8)	［　　イ　　］	1.14	1.08	1.33	1.06

注(¹)	結果は，各質問に“はい（該当する）”と回答した場合を2点，“いいえ（該当しない）”と回答した場合を0点，“部分的に該当する”と回答した場合を1点として，質問ごとの単純平均値を会社全体と部署別（主要3部署以外の記述は省略）に算出したものである。また，“分からない”と回答した場合については，0点とした。

　
　M部長とF君は，自己点検の結果を見て，次のような議論を交わした。
　

F君：	表2の結果から考えると，項番(3)，(4)，(8)に対応する情報セキュリティ対策基準の内容について，全社研修で周知徹底すべきだと思います。
M部長：	いや，点数の高低だけで研修項目を決めるべきではない。研修テーマは，情報セキュリティに関する障害などの［　　a　　］と［　　b　　］，研修実施によって期待される教育効果の程度などを含めて総合的に判断する必要がある。
F君：	研修による教育効果があるか否かは，どのように判断すればよいのでしょうか。
M部長：	今回の自己点検の質問は，認知と実践などの観点から作成されている。認知については，従業者の知識不足が問題であるから，研修によって，ある程度の効果は得られると思う。また，実践の調査である項番（2）に“いいえ”と回答した場合には，対応する図2中のII.2について，意図的な未実施の場合と［　　c　　］の場合が考えられる。［　　c　　］の場合についても，研修による効果が期待できる。一方，意図的な未実施の場合については，研修以外の方法で浸透度向上対策を検討する必要がある。

　
〔各部署における情報セキュリティ対策のヒアリング〕
　M部長は，自己点検の結果に情報セキュリティ上の問題が見受けられたことから，各部署を訪問してヒアリングを実施し，リスク対応の状況を確認した。最初にサービス部を訪問した。最近，サービス部では，提携代理店でも航空券を受け取れるサービス項目を追加している。次は，M部長とサービス部のN部長とG君の会話である。
　

M部長：	表2の自己点検の結果を見ると，サービス部では，アクセス制御と外部委託管理の浸透度が低いようです。外部委託管理はどのように実施していますか。
N部長：	販売促進のために，会員に対して毎月DMを送付している。その都度，複数の業者に発送作業を委託しているが，付き合いの長い業者ばかりで問題も起きていないことから，業者への立入調査は行っていない。
M部長：	個人情報保護法では，委託先の［　　d　　］が条文に明記されているので，DM発送の外部委託には十分に注意してください。
N部長：	個人情報保護は，近年になって急に重要度が高まってきているにもかかわらず，DM発送の委託先とはそれ以前からの付き合いということもあって，リスクとしての認識が甘かったかもしれないな。
M部長：	ところで，会員の旅行日程表や予約確認書などの個人情報を記した書類はどのように印刷しているのかね。
G君：	外来者が近づきにくい執務区画にプリンタを設置して，許可された人だけが印刷しています。また，個人情報を扱う業務では，従業者は，PCから旅行予約サーバにアクセスし，そのサーバで実行されているWebアプリケーションを介してデータを取り出し，PCのJavaアプレットでレイアウトして，プリンタに送って印刷しています。このレイアウトの際，Javaアプレットが背景に“機密情報”という文字を挿入しているので，従業者に注意を喚起することができます。
M部長：	個人情報であるという注意は喚起されているが，だれが印刷したかは分からない。印刷物をプリンタのトレイに置き忘れて，別の従業者が取り違えるようなことはないのかね。
G君：	はい。ある従業者が出力した印刷物を，ほかの従業者が自分の印刷物と一緒に取り出してしまい，別の会員に渡してしまったというミスが過去にありました。
M部長：	最新のプリンタには，WebアプリケーションやJavaアプレットなどを変更せずに，〔1〕そのようなミスをなくすための仕組みを実現できるものがあるので，導入を検討してみてはどうかね。ところで，Web販売の海外航空券を提携代理店の窓口で手渡しできるようにするサービス項目の追加について，情報セキュリティ面から検討はしたのかね。
G君：	Web販売では，会員からの入力データがSSLで保護されています。予約結果の確認は，平文のメールで会員に送っています。このメールには，予約番号，旅行者情報，旅行日程などが含まれています。このシステムは4年前から稼働しており，実績があるので，今回のサービス項目の追加によって情報セキュリティ対策を見直す必要はないと考えています。
M部長：	今回のサービス項目の追加は，提携代理店での受渡しなのでリスクが変わるはずだ。
G君：	予約番号を示して海外航空券を受け取ることは従来と同じなので，リスクも変わらないと考えました。
M部長：	それは違うはずだ。予約番号を不正に入手した者による［　　e　　］のリスクが高くなっている。提携代理店の窓口で海外航空券を手渡す場合には［　　ウ　　］を徹底するなどの対策が必要だ。
G君：	分かりました。

　
　次に，M部長は企画部を訪問し，アクセス制御の認知と実践についてヒアリングを実施した。企画部では，独断でファイルサーバを本社LANに接続したことに加え，ほかにも〔2〕情報セキュリティポリシへの違反が見受けられた。ファイルサーバについては，特にリスクが高いので，企画部による運用を中止させ，情報システム部が運用することにした。
　M部長は，情報システム部についても自己点検の結果を見直した。外部委託管理の浸透度が低いことから，情報セキュリティ対策を追加する必要があると考え，F君に問題点を調べさせた。F君がRシステムの外部委託管理について調べたところ，S社への作業指示やJ社の管理に問題はないものの，部内でどのような外部委託管理が行われているかを知らない社員が多いことが分かった。そこで，F君は，情報システム部の外部委託管理の浸透度が低い問題は，部内での情報共有が不十分であることに起因していると結論付けて，M部長に報告した。M部長は，F君の報告を受けて，部内の各業務について情報交換会を設けることにした。
　
〔情報セキュリティマネジメントシステムの再構築〕
　M部長は，各部署のヒアリング結果から，J社のサービス部や企画部では情報セキュリティマネジメントシステムが十分に機能せず，リスク対応が十分ではないことが分かった。これに対処するために，〔3〕情報セキュリティマネジメントシステムを再構築し，速やかにリスク分析を行ってリスク対応の遅れを最小限にとどめるようにした。
　

　
設問1　本文中の［　　a　　］～［　　e　　］に入れる適切な字句を答えよ。

(1)

　［　　a　　］，［　　b　　］については，解答群の中から選び，記号で答えよ。
解答群

ア　影響度	イ　機密度	ウ　信頼度	エ　対応
オ　人気度	カ　発生頻度

(2)

　［　　c　　］～［　　e　　］については，それぞれ5字以内で答えよ。

　
設問2　自己点検について，(1)，(2)に答えよ。

(1)	表2中の［　　ア　　］に入れる認知についての質問文を，50字以内で答えよ。
(2)	表2中の［　　イ　　］に入れる実践についての質問文を，60字以内で答えよ。

　
設問3　M部長が実施した，各部署における情報セキュリティ対策に関するヒアリングについて，(1)～(3)に答えよ。

(1)	本文中の下線〔1〕の実現に必要なプリンタの機能を，20字以内で具体的に述べよ。
(2)	本文中の［　　ウ　　］に入れる具体的な運用内容を，20字以内で答えよ。
(3)	本文中の下線〔2〕における違反とは何か。図2中のII.6.の該当する項目の番号を(1)～(4)の中から二つ選べ。また，その違反内容を本文中の字句を用いて，それぞれ30字以内で述べよ。

　
設問4　本文中の下線〔3〕において，速やかにリスク分析を行いリスク対応の遅れを最小限にとどめるために，J社の各部署と情報システム部が担う役割を，それぞれ50字以内で述べよ。
　

→詳細な解答を見る

【午前】情報セキュリティアドミニストレータ
【午後】情報セキュリティアドミニストレータ

【午前】テクニカルエンジニア情報セキュリティ
【午後】テクニカルエンジニア情報セキュリティ

【午前】情報セキュリティプロフェッショナル
【午後】情報セキュリティプロフェッショナル

スポンサードリンク

スポンサードリンク

スポンサードリンク

免責事項　／　サイトマップ　／　リンク　／　　問い合わせ

平成18年度情報セキュリティアドミニストレータ午後Ⅱ問題 （問2)